최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다. /연합뉴스

쿠팡에서 발생한 해킹 사고 조사 결과 이용자 정보 3367만여 건이 유출된 것으로 확인됐다. 그러나 해커가 전화번호, 배송지 주소 등이 들어 있는 페이지를 1억회 넘게 조회한 것으로 드러나면서 실제 정보 유출 규모는 이보다 더 커질 것으로 보인다.

과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 대한 민관합동조사단 최종 조사 결과를 발표했다. 최우혁 과기정통부 정보보호네트워크정책실장은 “쿠팡 전직 직원이 지난해 4월 14일부터 11월 8일까지 쿠팡 웹페이지에 접속해 이용자 정보를 유출한 것으로 파악됐다”면서 “내 정보 수정 페이지에서 성명·이메일 등 3367만3817건의 정보가 유출됐다”고 밝혔다. 조사단은 성명·이메일을 묶은 계정 정보를 1건으로 계산했다. 이번 해킹을 벌인 중국인 전 직원은 쿠팡에서 일할 때 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어 개발자였다.

민관합동조사단은 쿠팡에서 제출받은 해커의 PC 저장 장치와 현재 재직 중인 쿠팡 개발자의 노트북에 대한 포렌식 분석을 병행하는 방식으로 사고 규모를 조사했다. 그 결과 해커는 쿠팡에서 관리하는 개인정보 페이지를 웹 크롤링 공격 도구(로봇 프로그램을 동원해 웹사이트 정보를 무단으로 싹쓸이하는 방식)를 활용해 무단 조회한 것으로 드러났다. 과기부는 조회는 곧 정보 유출을 의미한다고 밝혔다. 최 실장은 “해커는 성명·전화번호·배송지 주소와 공동현관 비밀번호가 포함된 배송지 목록 페이지를 1억4805만여회 조회했고, 배송지 목록 수정 페이지도 5만여회 조회했다”며 “최근 주문한 상품 목록이 포함된 주문 목록 페이지도 10만여회 조회했다”고 밝혔다.

정확한 개인정보 유출 규모는 개인정보보호위원회에서 최종 확정할 예정이다. 임정규 과기정통부 정보보호네트워크정책관은 “배송지 목록 페이지에는 주소를 최대 20개까지 넣을 수 있는데 사람마다 입력한 배송지 수가 달라서 모두 산정하지 못했다”면서 “개보위에서 성명, 전화번호, 배송지 주소, 공동현관 비밀번호 등이 몇 건 유출됐는지를 확인해 발표할 예정”이라고 말했다. 결제정보 유출은 없었다.

10일 과학기술정보통신부가 발표한 쿠팡 개인정보 유출 및 침해 사고에 관한 민관 합동 조사 결과에 따르면 개인정보 규모는 정부가 당초 추정하던 대로 3천300만건을 넘어서고 범인이 들여다본 배송지 주소 등의 정보는 1억5천만건에 달하는 것으로 파악됐다. 사진은 이날 서울의 한 쿠팡 캠프 모습./연합뉴스

이번 해킹은 쿠팡의 관리 부실로 발생했다. 최 실장은 “해커는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 뒤 이를 활용해 ‘전자 출입증’을 위·변조하는 방식으로 쿠팡 인증체계를 통과했다”면서 “그 결과 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 됐다”고 했다. 쿠팡은 ‘전자 출입증’ 위·변조 여부를 확인해야 하지만 관련된 확인 절차는 없었던 것으로 나타났다. 또한 업무 담당자가 퇴사할 경우 서명키를 더 사용하지 못하도록 갱신해야 했지만 관련 절차도 없었다. 이동근 KISA(한국인터넷진흥원) 디지털위협대응본부장은 “중국인 전 직원이 일했던 팀의 업무 행태를 확인한 결과 재직자 노트북에 서명키를 저장하고 있는 문제를 확인했다”면서 “서명키 관리가 제대로 이뤄지지 않았다는 얘기”라고 말했다.

또한 해커는 쿠팡에 재직하던 당시 이용자 인증 시스템·개발 업무를 수행하면서 이용자 인증 체계의 취약점을 이미 인지하고 있었던 것으로 드러났다. 과기정통부는 “해커가 지난해 1월 5~20일 공격 테스트를 진행한 접속 기록이 확인됐다”면서 “사전 테스트를 통해 이용자 계정에 접근이 가능한 사실을 확인한 이후 자동화된 웹 크롤링 공격 도구를 이용해 대규모 정보를 유출했다”고 밝혔다.

민관합동조사단은 위·변조된 ‘전자 출입증’을 이용해 타인의 계정으로 무단 접속한 후 유출한 정보를 해외에 있는 클라우드 서버로 전송할 수 있는 기능을 확인했지만 기록이 남아 있지 않아 실제 클라우드 전송 여부는 확인하지 못했다. 쿠팡에서 유출된 정보에 따른 2차 피해도 아직까지 발생하지 않았다고 밝혔다.

과기정통부는 쿠팡이 해킹 사실을 인지한 시점부터 24시간 이내에 당국에 신고해야 하지만 이 시점을 어겼기 때문에 과태료를 부과할 예정이다. 최 실장은 “침해 사고 원인 분석을 위해 지난해 11월19일 자료보전 명령을 했지만 쿠팡이 접속 기록의 자동 로그 저장 정책을 조정하지 않아 2024년 7~11월 웹 접속 기록이 삭제됐고, 지난해 5월 23일부터 6월 2일까지 앱 접속 기록도 삭제됐다”며 “자료보전 명령 위반과 관련해 수사기관에도 수사를 의뢰했다”고 밝혔다.

이번 조사 결과에 따라 쿠팡은 이달 안에 과기정통부에 재발 방지 대책 이행 계획을 제출하고 3~5월에 이를 시행해야 한다. 정부는 6~7월 이행 여부를 점검할 계획이다.

한편 쿠팡 관계자는 “쿠팡은 기존 3370만 여개 계정의 유출 규모에 대해서 부정한 적이 없다”면서 “2차 피해에 대한 국민 불안감을 낮추기 위하여 공격자 진술에 근거해 약 3000개 계정만 공격자 하드 드라이브에 저장되었고, 해당 정보들이 삭제되었음을 확인해 이를 설명한 것”이라고 말했다. 앞서 쿠팡은 지난달 말 자체 조사 결과 유출된 계정 정보 중 약 3000개의 고객 정보만 저장했다고 발표했다. 그러나 정부는 “저장 여부와 관계 없이 쿠팡의 통제권을 벗어나서 해커가 개인정보가 들어 있는 페이지를 조회했다면 그 자체로 개인정보가 유출된 것”이라고 밝혔다.